Зламыснікі ўсё часцей выбіраюць экзатычныя мовы праграмавання, бо шкоднасны код на іх складаней аналізаваць. Паводле новага даследавання, новыя спосабы схавацца ад сістэм статычнага аналізу — метаду вывучэння кода без яго запуску — даюць мовы накшталт Haskell, Delphi і Phix.
Зламыснікі ўсё часцей выбіраюць экзатычныя мовы праграмавання, бо шкоднасны код на іх складаней аналізаваць. Паводле новага даследавання, новыя спосабы схавацца ад сістэм статычнага аналізу — метаду вывучэння кода без яго запуску — даюць мовы накшталт Haskell, Delphi і Phix.
Даследчыкі вывучылі каля 400 тысяч выканальных файлаў для Windows, каб зразумець, чаму шкоднасныя праграмы на рэдкіх мовах цяжэй выявіць. Высветлілася, што нестандартныя кампілятары і мовы сапраўды зніжаюць дакладнасць сістэм выяўлення. Асабліва прыкметны эфект ад выкарыстання малараспаўсюджаных кампілятараў — напрыклад, Embarcadero Delphi, Tiny C і Pelles C. Пры гэтым выбар кампілятара мае большае значэнне для абыходу аналізу, чым сама мова.
Традыцыйна шкоднасныя праграмы ствараюцца на C або C++ і кампілююцца з дапамогай Microsoft Visual Studio. Такія бінарныя файлы даволі аднародныя, што спрашчае працу антывірусаў: байты шел-кода часта размяшчаюцца паслядоўна або з прадказальнымі інтэрваламі, што дазваляе выкарыстоўваць сігнатурныя метады. Але ў выпадку з Rust, Lisp, Haskell і іншымі мовамі структура памяці значна менш прадказальная. Там байты шкоднаснага кода могуць быць раскіданыя па ўсім бінарным файле, што значна ўскладняе аўтаматычнае выяўленне.
Выкарыстанне незвычайных моў таксама прыводзіць да большага ліку ўскосных выклікаў, множнасці паралельных плыняў і складанай логікі выканання. Усё гэта ўскладняе реверс-інжынерыю для аналітыкаў і павялічвае шанцы зламыснікаў на паспяховую атаку.
Рост папулярнасці экзатычных моў сярод вядомых груп пацвярджаецца практыкай. APT29 выкарыстала Python у бэкдоры Masepie і спалучэнне Delphi, Go, C# і Python у траяне Zebrocy. Вымагальнік Akira перайшоў з C++ на Rust, BlackByte замяніў C# на Go, Hive быў перапісаны на Rust. Такія метамарфозы ўскладняюць аналіз кода і робяць яго менш пазнавальным для аўтаматычных сродкаў.
Чым менш спецыялістаў і інструментаў разумеюць фармат кода, тым вышэйшая верагоднасць, што шкоднасная праграма застанецца незаўважанай. Асабліва гэта датычыцца моў з незвычайнай мадэллю выканання, такіх як Haskell або Lisp, або асяроддзяў з цяжкавагавымі стандартнымі бібліятэкамі, як Dart і Go.
Даследчыкі падкрэсліваюць, што бяспека не павінна абмяжоўвацца маніторынгам папулярных моў. Малараспаўсюджаныя тэхналогіі даюць зламыснікам прастору для манеўру. Каб заставацца на крок наперадзе, неабходна пашыраць арсенал аналізу і на такія нестандартныя выпадкі.
Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.
Вы же тут разгоняли насколько Rust безопасен🤭
ты точно айтишник?
он просто не видел раст поэтому у него ООМ
ну разве что. тут в списке куда более интересно присутствие хаскеля, чем раста, как по мне.
ну прошивка для чипов делается на плюсах, конвертится в асемблер и шьет чипы контроллеры, если какой-то одаренный будет юзать шарпы джавы то завод обанкротится - отсюда очевидность того, что низкие языки нужны и очень востребованы на рынке труда так как они ресурсоемки, а следовательно предпочтительны для вредоносного ПО, поэтому анти-вирусы и прочее заточены под моду, если чел накорябает на делфи вирусню с использованием встроенных библотек виндоус и шифрованием кода, то отследить такого зверька просто не получится в априори вообще ни на одной системе
Карыстальнік адрэдагаваў каментарый 1 красавіка 2025, 15:16
Да я статью прочитал. У меня однако был стереотип, что эта гадость должна быть достаточно мелкой и напрямую работать с памятью и системными ресурсами. А оно, похоже, совсем необязательно, или как-то по модулям раскладывается. В расте-то никто не мешает тебе с ног до головы ансейфами обмазаться, ты в хаскеле попробуй.